除了穿花衣服迷惑杀毒软件,木马还会套上盔甲,缩在乌龟壳中,念着:你咬我呀,你咬我呀,从容不迫地躲过杀毒软件的查杀……
壳就是木马的盔甲
盔甲是人类在战争中发现的一种保护全身的防御武器(盔保护的是头部,甲保护的是身体),穿上盔甲后的防护力大大增强,提高了战场上存活的几率,而同样有提高生存能力需求的木马,也打起了盔甲的主意。
木马怎么才能穿上盔甲呢?经过探索它们发现,有的软件为了保护自己的源代码不被人窃取,而使用加壳的保护手段,简单地说,就是给软件的穿上盔甲,软件还是正常的工作,但看不到盔甲内的本体(直接反编译的方法行不通了)。这个原理正好开源满足木马的需求——躲过杀毒软件查杀且不影响木马的正常使用。
于是,加壳这个方法就成为木马免杀的主要方法之一,各种千奇百怪的壳应运而生(在百度以关键词“加壳软件”进行搜索,可以看到197万条搜索结果),加不同的壳就可以延伸不同的变种,有一种撒豆成兵的效果,所以加壳成为木马免杀的两种较常用的方法之一。
盔甲能无视杀毒软件吗
加壳的效果到底如何呢?是不是真的可以躲过杀毒软件查杀呢?在了解黑客工具之前,我们来实验一下。首先,登录在线病毒扫描网站(www.virscan.org),点击“浏览”,选择准备好的木马文件,然后上传并进行扫描,扫描结果如图1所示,有44%的杀毒软件发判断该文件为病毒。接着,我们使用加壳工具,为木马文件加壳免杀,再上传扫描,扫描结果如图2所示,有25%的杀毒软件判断该文件为病毒。
本次试验中的木马比较生僻(跟上期加花免杀实验使用的是同一款木马,加花免杀后有28%的杀毒软件发现问题;加壳免杀后有25%的杀毒软件发现问题),较少人使用。免杀前国内主流杀毒软件基本上都可以检测出问题,表现不错;免杀后,国内主流杀毒软件都没有发现问题(图3)。
此外,我们又经过多次实验,发现不同壳的免杀效果大相径庭,越是生僻的壳越容易躲过查杀,可见杀毒软件也不是省油的灯,木马跟杀毒软件的“军备竞赛”、免杀与反免杀的较量将一直持续下去。看到这里,大家是不是想问,木马是用什么黑客工具加壳的?请接着往下看。
工具名称:Yoda's Crypter
工具特点:具备反脱壳功能
工具大小:50KB
Yoda's Crypter是一款来自国外的加壳工具,关注度较少,所以相对国内的大多数加壳工具成功率较高。下载汉化版(图4)并运行,在软件界面中,单击“文件”后面的按钮,载入木马文件,然后勾选“CRC自检验破坏时退出程序”、“反脱壳(脱壳时死机)”、“删除入口点信息”和“API伪装”。
这么做的好处是,可以提高壳的保护能力和伪装能力,抵抗杀毒软件的查杀,效果非常明显。而另外两项作用不大,副作用还不小,建议大家不要勾选。最后,点击“生成”按钮,一个加壳免杀的木马就炮制出来了。
靠数量取胜
工具名称:超级加壳工具
工具特点:提供多种类型的壳
工具大小:950KB
超级加壳工由国内黑客高手编写,最大的特点就是提供的壳种类丰富,每种壳的效果都不一样,这么多壳中总有可以躲过杀毒软件,所以该工具也非常受黑客的欢迎。下载软件(图5),运行后在软件界面中,点击“选择要加壳的文件”后面的案例,载入木马文件,然后在“壳的类型”中选择一个,例如Fsg2.0、Morphine DLL等都是不错的壳,最后点击“加壳”即可。该工具有很多可以深入研究的壳,大家私下可以好好研究。
木马伪装系列结束了,从下期开始,我们将为大家揭秘威胁QQ用户的三中黑客“武器”,它们各自有什么特点?又如何威胁广大QQ用户的呢?下期更加精彩,不容错过!
防范免杀过的网页木马
在上期,我们说了如何防范*了免杀木马的文件,上期的方法能对付杀过的网页木马吗?不能,网页木马才不会给你机会捉到本体(自动运行了),上传到多引擎在线病毒扫描网站进行验证。
那免杀过的网页木马如何防范呢?最有效、最方便的方法是安装一款能拦截网页木马的安全辅助工具,例如安天的锐甲、金山网盾、360安全卫士、瑞星卡卡助手等,它们并不仅仅靠特征码来甄别网页木马,还会检测网页中是否有挂马的相应恶意代码,可以提前阻止网页木马激活。
除了使用安全辅助工具,一些能过滤挂马代码的浏览器也是考虑的,例如IE 8,如果过滤了挂马代码,网页木马就无法正常运行,自然就不怕它免杀了。如果网页木马突破了这些防御,就只能靠杀毒软件了,所以一定要确保杀毒软件开启了注册表监控,网页木马就算能骗过杀毒软件也要修改注册表,一旦不明程序要修改注册表,就要提高警惕,如果条件允许,最好用杀毒软件全盘查杀一道。
3985
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
